Introduction
Un FireSIGHT Management Center de votre déploiement peut se connecter au cloud Cisco. Après avoir configuré FireSIGHT Management Center pour la connexion au cloud, vous pouvez recevoir des enregistrements des analyses, des détections de programmes malveillants et des quarantaines. Les enregistrements sont stockés dans la base de données FireSIGHT Management Center en tant qu'événements de programme malveillant. Par défaut, le cloud envoie des événements de programmes malveillants pour tous les groupes de votre organisation, mais vous pouvez restreindre par groupe lorsque vous configurez la connexion. Ce document traite de divers problèmes et étapes de dépannage liés à la fonction Advanced Malware Protection (AMP) d'un FireSIGHT Management Center.
Le port ou le serveur est bloqué dans le pare-feu
Si un FireSIGHT Management Center ne parvient pas à se connecter à la console FireAMP Cloud ou ne reçoit pas d'événements de programme malveillant, vous devez vérifier si les ports requis sont bloqués par le pare-feu. FireSIGHT Management Center utilise le port 443 pour recevoir les événements de programmes malveillants basés sur les terminaux à partir de la console FireAMP. Le port 32137 est requis pour que les appliances FirePOWER puissent effectuer des recherches de programmes malveillants dans le cloud Cisco.
Pour en savoir plus sur les numéros de port et les adresses de serveur requis, lisez les documents suivants :
Adresse MAC utilisée
Symptôme
Lorsque vous tentez d'enregistrer un FireSIGHT Management Center sur un cloud privé et que vous effectuez la connexion initiale, vous pouvez recevoir un message indiquant que l'adresse MAC est déjà utilisée.
Motif
Lorsqu'un FireSIGHT Management Center est remplacé en raison d'une défaillance matérielle et que l'unité de remplacement n'est pas correctement désinscrite du cloud, vous pouvez rencontrer ce problème.
Solution
Avant de remplacer une appliance, vous devez annuler l'enregistrement de FireSIGHT Management Center à partir du cloud FireAMP. Vous devez également supprimer FireSIGHT Management Center du cloud FireAMP. Cela empêche qu’une adresse MAC soit perçue comme étant en cours d’utilisation.
Conseil : Lisez ce document pour connaître le processus détaillé de désinscription d'une appliance du cloud FireAMP et de suppression d'un cloud du centre de gestion FireSIGHT.
Erreur générale/inconnue s'affiche
Symptôme
Un message d'erreur s'affiche lors de la connexion d'un FireSIGHT Management Center réimagé ou de remplacement à une console FireAMP. Il affiche une erreur générale/inconnue.

Lorsque le message d'erreur General/unknown apparaît, l'état de la connexion FireAMP sur FireSIGHT Management Center devient critique. L'interface Web affiche une icône rouge.

Motif
Ce problème se produit lorsqu'une adresse MAC d'un FireSIGHT Management Center, qui vient d'être recréée ou remplacée, est toujours enregistrée sur une console FireAMP.
Solution
Avant de réinstaller ou de remplacer une appliance, vous devez annuler l'enregistrement de FireSIGHT Management Center à partir de FireAMP Cloud. Vous devez également supprimer FireSIGHT Management Center du cloud FireAMP. Cela empêche qu’une adresse MAC soit perçue comme étant en cours d’utilisation.
Conseil : Lisez ce document pour connaître le processus détaillé de désinscription d'une appliance du cloud FireAMP et de suppression d'un cloud du centre de gestion FireSIGHT.
Impossible de sélectionner un cloud
Symptôme
Lors de la création d'une connexion entre FireSIGHT Management Center et la console cloud FireAMP, aucune option n'est disponible pour les clouds US ou EU.

Motif
Ce problème se produit lorsqu'un FireSIGHT Management Center ne parvient pas à résoudre le nom d'hôte api.amp.sourcefire.com.
Afin de vérifier le problème, effectuez une nslookup sur l'interface de ligne de commande de FireSIGHT Management Center. Vérifiez si les paramètres DNS sont correctement configurés sur FireSIGHT Management Center :
admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com
Le résultat suivant s'affiche lorsque DNS ne parvient pas à résoudre le nom d'hôte sur FireSIGHT Management Center :
admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com
Server: 192.168.45.2
Address: 192.168.45.2#53
** server can't find api.amp.sourcefire.com
Le résultat ci-dessous indique si le DNS est correctement résolu sur FireSIGHT Management Center :
admin@Sourcefire3D:~$ sudo nslookup api.amp.sourcefire.com
Server: 192.168.45.1
Address: 192.168.45.1#53
Non-authoritative answer:
api.amp.sourcefire.com
Name: xxxx.xxxx.xxxx
Address: xx.xx.xx.xx
Solution
- Si FireSIGHT Management Center ne parvient pas à résoudre le nom d'hôte, vous devez vérifier si les paramètres DNS du Management Center sont corrects.
- Si un FireSIGHT Management Center est capable de résoudre le nom d'hôte, mais ne parvient pas à accéder à api.amp.sourcefire.com via un pare-feu, vérifiez les règles et paramètres du pare-feu.
Lors du processus de création de la connexion, si FireSIGHT Management Center ne parvient pas à résoudre le nom d'hôte, le message d'erreur suivant est consigné dans le httpsd_error_log :
Error attempting curl for FireAMP: System
Par exemple, la sortie de journal suivante montre que le Centre de défense n'a pas terminé la commande curl à api.amp.sourcefire.com :
admin@Sourcefire3D:~$ tail -f /var/log/httpd/httpsd_error_log
[Thu Jul 18 12:38:13.433765 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: getCloudData start... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1778., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:38:14.338174 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: /usr/local/bin/curl -s --connect-timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/keys/fireamp/thawte_roots/ -H Accept: application/vnd.sourcefire.fireamp.dc+json; version=1 https://api.amp.sourcefire.com/clouds at /usr/local/sf/lib/perl/5.10.1/SF/System.pm line 7491., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:38:24.352374 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: Error attempting curl for FireAMP: System (/usr/local/bin/curl -s --connect-timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/keys/fireamp/thawte_roots/ -H Accept: application/vnd.sourcefire.fireamp.dc+json; version=1 https://api.amp.sourcefire.com/clouds) Failed at /usr/local/sf/lib/perl/5.10.1/SF/System.pm line 7499., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:38:24.352432 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: No cloud data returned at /usr/local/sf/lib/perl/5.10.1/SF/FireAMP.pm line 145., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:38:24.352478 2013] [cgi:error] [pid 10920] [client 192.168.45.50:59220] AH01215: getCloudData completed... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1780., referer: https://192.168.45.45/ddd/
Lors du processus de création de la connexion, si le message suivant est consigné dans httpsd_error_log sans erreur, il indique que FireSIGHT Management Center est en mesure de résoudre le nom d'hôte :
getCloudData completed
Par exemple, le résultat suivant montre qu'un Management Center exécute une commande curl vers api.amp.sourcefire.com :
admin@Sourcefire3D:~$ tail -f /var/log/httpd/httpsd_error_log
[Thu Jul 18 12:42:54.949461 2013] [cgi:error] [pid 12007] [client 192.168.45.50:59253] AH01215: getCloudData start... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1778., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:42:55.856432 2013] [cgi:error] [pid 12007] [client 192.168.45.50:59253] AH01215: /usr/local/bin/curl -s --connect-timeout 10 -m 20 -L --max-redirs 5 --max-filesize 104857600 --sslv3 --capath /etc/sf/keys/fireamp/thawte_roots/ -H Accept: application/vnd.sourcefire.fireamp.dc+json; version=1 https://api.amp.sourcefire.com/clouds at /usr/local/sf/lib/perl/5.10.1/SF/System.pm line 7491., referer: https://192.168.45.45/ddd/
[Thu Jul 18 12:42:55.931106 2013] [cgi:error] [pid 12007] [client 192.168.45.50:59253] AH01215: getCloudData completed... at /usr/local/sf/lib/perl/5.10.1/SF/Permission.pm line 1780., referer: https://192.168.45.45/ddd/